Die EU-Datenschutzgrundverordnung – eine Roadmap

1 min.

Die neue EU-DSGVO ist am 25.05.2016 europaweit in Kraft getreten. Für die Unternehmen bleibt eine Übergangsfrist von 2 Jahren, bis sie unmittelbar anwendbar wird. Damit drohen Bußgelder von bis zu 20 Millionen EUR oder mehr, sollten die Unternehmen die neuen Anforderungen aus dieser Grundverordnung nicht oder nicht rechtzeitig in ihrem Umfeld umgesetzt haben.

Bis zu deren unmittelbaren Anwendung sind es jetzt keine 700 Tage mehr! Eine besondere Herausforderung für Unternehmen, alle Geschäftsprozesse auf die neuen Anforderungen des über 100seitigen Dokuments hin zu überprüfen und ggf. anzupassen.

Was müssen Sie jetzt tun?

Werden Sie aktiv und warten nicht länger ab. Die möglichen Bußgelder sind enorm!

Wie könnte eine Roadmap aussehen?

1.7.2016: Beginn der Bestandsaufnahme
Sämtliche datenverarbeitende Prozesse und Verfahren sollten in einem Verfahrensverzeichnis aufgenommen werden. Für datenverarbeitende Prozesse bei denen Daten mit Personenbezug verarbeitet werden, ist eine ausführliche Dokumentation bereits nach geltendem Datenschutzrecht Pflicht.

Ebenso sind sämtliche Vereinbarungen für eine Datenverarbeitung im Auftrag (sog. Auftragsdatenverarbeitungsvereinbarung) zu listen und ggf. prüfen zu lassen, ob und inwieweit sie den derzeitigen Vorgaben entsprechen.

Die neue EU-DSGVO bietet vielleicht jetzt die Gelegenheit, das eigene Verfahrensverzeichnis gründlich zu überarbeiten.

Bis 30.06.2017: Änderungsbedarf identifizieren.
Bei der Bestandsaufnahme ist bei jedem Verfahren möglicher Änderungsbedarf festzuhalten und entsprechend zu dokumentieren.
Nach dem der EU-DSGVO zugrunde liegenden Leitgedanken der „Accountability“ reicht es nicht, das Datenschutzrecht vom Inhaltlichen her einzuhalten – der Jurist spricht hier vom „Materiellrechtlichen“. Zusätzlich sind die Unternehmen verpflichtet, ihre Prozesse vollständig transparent und nachvollziehbar zu gestalten und zu dokumentieren.

Eine wesentliche Änderung wird es bei den Einwilligungserklärungen geben, die nunmehr ausdrücklich auch elektronisch erfolgen kann. Doch dies bedarf einer besonders sorgfältigen Gestaltung des Prozesses, mit der die Einwilligung eingeholt werden, damit sie auch rechtswirksam erfolgen.

Bis 25.05.2018: Umsetzung der neuen Vorgaben.
An diesem Tag wirken die neuen Anforderungen aus der EU-DSGVO unmittelbar gegen die Unternehmen.
Auf Grund des Umstandes, dass im kommenden Jahr Bundestagswahl ist, rechne ich nicht damit, dass in den kommenden Monaten das nationale Recht unter Berücksichtigung der nationalen Eigenheiten wesentlich angepasst wird.
Verlassen Sie sich also nicht auf den nationalen Gesetzgeber, sondern beginnen Sie mit der Umsetzung so bald als möglich.

Neu ist z.B. auch der Ansatz der Datenschutz-Folgeabschätzung (auch Privacy Impact Assessment, oder PIA genannt). Danach sind bei jedem datenverarbeitenden Verfahren die Abwägung zu treffen und zu dokumentieren(!), welches Risiko mit dem entsprechenden Verfahren für die personenbezogenen Daten einhergehen.

Nutzen Sie die Gelegenheit, in Ihrem Unternehmen ein funktionierendes Datenschutzmanagement mit formalisierten Prüfprozessen zu etablieren. Mit standardisierten Prozessen sollte Ihnen auch die Umstellung bzw. Anpassung an die neuen Regelungen der EU-DSGVO auch in dieser recht kurzen Frist einigermaßen gut gelingen.

Haben Sie Fragen zur konkreten Umsetzung der EU-Datenschutzgrundverordnung? Schreiben Sie einen Kommentar oder kontaktieren Sie mich!

__

Bild (CCO Public Domain)

__

Über den Autor

Mein Name ist Julius S. Schoor. Ich bin Rechtsanwalt und spezialisiert auf IT-Vertragsrecht. Seit 2011 bin ich als Datenschutzbeauftragter TÜV-zertifiziert und bereits für mehrere Unternehmen als solcher offiziell bestellt.

Kommentieren Sie diesen Beitrag!

Die Daten werden nur dafür verarbeitet, die Kommentarfunktion des Blogs zu ermöglichen.
Soweit Sie mir eine persönliche Nachricht schreiben wollen, nutzen Sie bitte die Seite Kontakt.
Im Übrigen gelten meine Datenschutzhinweise.